Original-URL des Artikels: https://www.golem.de/news/staatstrojaner-office-0-day-zur-verbreitung-von-finfisher-trojaner-genutzt-1704-127307.html    Veröffentlicht: 13.04.2017 13:46    Kurz-URL: https://glm.io/127307

Staatstrojaner

Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

0-Days werden deutlich seltener für gezielte Angriffe eingesetzt, als oft gedacht. In einem aktuellen Fall ist aber genau dies geschehen: Staatliche Hacker und Kriminelle nutzten eine Sicherheitslücke in Word aus, um den Finfisher-Trojaner zu installieren.

Eine von Microsoft im Rahmen des letzten Patchdays geschlossene Sicherheitslücke im Office-Paket von Microsoft wurde offenbar genutzt, um den Staatstrojaner von Finfisher zu verteilen. Die Lücke mit der Bezeichnung CVE-2017-0199 wurde unter anderem von Proofpoint veröffentlicht, Fireeye hat Details zur Verwendung im Rahmen der Spionagekampagne veröffentlicht. Die ausspionierten Personen sollen nach Angaben von Motherboard aus Russland stammen.

Für die Angriffe nutzte die unbekannte Gruppe auch Social Engineering. Den Opfern wurde ein Word-Dokument zugeschickt, das auf das russische Verteidigungsministerium hinweist. Ein weiteres Dokument sollte offenbar profanere Instinkte ansprechen und versprach Informationen zu "top 7 hot hacker chicks".

Word-Dokument installiert Finfisher-Trojaner

Öffnet ein Opfer ein entsprechend präpariertes Word-Dokument, wird im Hintergrund ein Script ausgeführt, das dann Schadcode nachlädt und installiert. In diesem Fall soll es sich um die Malware des Unternehmens Finfisher gehandelt haben. Die Kampagne wurde gemeinsam von Fireeye und dem bei Amnesty International arbeitenden Hacker Claudio Guarnieri gefunden. Guarnieri hatten auf dem 33C3 die Organisation Security Without Borders ins Leben gerufen.

Hinweise auf den Urheber der Kampagne gibt es nur wenige. Die Dokumente wurden auf einem Server mit italienischer IP-Adresse gehostet, was aber natürlich nur wenig Aussagekraft hat. Finfisher hat Kunden in der ganzen Welt, auch mehrere US-Behörden haben früheren Recherchen zufolge Kopien der Software gekauft. Auch bei gezielten Kampagnen werden relativ selten 0-Day-Exploits eingesetzt. Die meisten Angriffe setzen auf bekannte Sicherheitslücken in Verbindung mit Social Engineering.

Der Exploit war vor seiner Veröffentlichung nicht nur Finfisher bekannt. Kriminelle nutzten die Sicherheitslücke, um Rechner mit dem Dridex-Botnet zu infizieren. Nach Angaben von Fireeye wurde außerdem die Latentbot-Malware verteilt, die zum Kopieren von Zugangsdaten eingesetzt werden kann. Golem.de hat Finfisher um einen Kommentar gebeten.  (hg)


Verwandte Artikel:
Staatstrojaner: Finspy vom Innenministerium freigegeben   
(03.02.2018, https://glm.io/132564 )
Coda: Office-365-Alternative kommt ohne "Schiffe versenken" aus   
(24.10.2017, https://glm.io/130779 )
Überwachung: BKA soll bereits Trojaner in Ermittlungen einsetzen   
(27.01.2018, https://glm.io/132425 )
Überwachungstechnik: EU-Parlament fordert schärfere Ausfuhrregeln   
(18.01.2018, https://glm.io/132237 )
Remote Forensics: BKA kann eigenen Staatstrojaner nicht einsetzen   
(22.09.2017, https://glm.io/130211 )

© 1997–2019 Golem.de, https://www.golem.de/